लिनक्स सुरक्षा पाठ्यक्रम के छात्रों के लिए लेख का अनुवाद तैयार किया गया था ।

SELinux या Security Enhanced Linux दुर्भावनापूर्ण घुसपैठ को रोकने के लिए US National Security Agency (NSA) द्वारा विकसित एक उन्नत अभिगम नियंत्रण तंत्र है। यह मौजूदा विवेकाधीन (या चयनात्मक) मॉडल (Eng। विवेकाधीन अभिगम नियंत्रण, DAC) के शीर्ष पर एक मजबूर (या अनिवार्य) एक्सेस कंट्रोल मॉडल (Eng। अनिवार्य एक्सेस कंट्रोल, मैक) लागू करता है, अर्थात, पढ़ने, लिखने, निष्पादित करने की अनुमति देता है।

SELinux के तीन मोड हैं:

1. लागू करना - नीति नियमों के आधार पर पहुंच से इनकार करना ।
2. अनुमेय - लॉगिंग क्रियाएं जो उन नीतियों का उल्लंघन करती हैं जिन्हें लागू करने की विधि में निषिद्ध किया जाएगा।
3. अक्षम - पूरी तरह से SELinux अक्षम करें।

डिफ़ॉल्ट रूप से, सेटिंग्स /etc/selinux/config

SELinux मोड बदलना

वर्तमान मोड का पता लगाने के लिए, रन करें

 $ getenforce 

मोड को अनुमेय में बदलने के लिए, निम्न कमांड चलाएँ

 $ setenforce 0 

या, मोड को अनुमेय से लागू करने के लिए बदलने के लिए, करें

 $ setenforce 1 

यदि आपको SELinux को पूरी तरह से अक्षम करने की आवश्यकता है, तो यह केवल कॉन्फ़िगरेशन फ़ाइल के माध्यम से किया जा सकता है

 $ vi /etc/selinux/config 

अक्षम करने के लिए, SELINUX पैरामीटर को निम्नानुसार बदलें:

 SELINUX=disabled 

SELinux सेटअप

प्रत्येक फ़ाइल और प्रक्रिया को एक SELinux संदर्भ के साथ चिह्नित किया जाता है, जिसमें उपयोगकर्ता, भूमिका, प्रकार आदि जैसी अतिरिक्त जानकारी होती है। यदि आप पहली बार SELinux को सक्षम करते हैं, तो आपको पहले संदर्भ और लेबल को कॉन्फ़िगर करना होगा। लेबलिंग और संदर्भ की प्रक्रिया को लेबलिंग के रूप में जाना जाता है। मार्किंग शुरू करने के लिए, कॉन्फ़िगरेशन फ़ाइल में, मोड को अनुमेय में बदलें।

 $ vi /etc/selinux/config SELINUX=permissive 

अनुमेय मोड की स्थापना के बाद, रूट में autorelabel नामक एक खाली छिपी फ़ाइल autorelabel

 $ touch /.autorelabel 

और कंप्यूटर को पुनरारंभ करें

 $ init 6 

नोट: हम मार्किंग के लिए परमिशन मोड का उपयोग करते हैं, क्योंकि एनफोर्सिंग मोड का उपयोग करने से रिबूट के दौरान सिस्टम क्रैश हो सकता है।

चिंता मत करो अगर डाउनलोड कुछ फ़ाइल पर अटक जाता है, तो अंकन में कुछ समय लगता है। अपने सिस्टम को चिह्नित करने और बूट करने के बाद, आप कॉन्फ़िगरेशन फ़ाइल पर जा सकते हैं और एन्फोर्सिंग मोड सेट कर सकते हैं, साथ ही साथ रन भी कर सकते हैं:

 $ setenforce 1 

अब आपने अपने कंप्यूटर पर SELinux को सफलतापूर्वक सक्षम कर दिया है।

लॉग की निगरानी करें

मार्क करते समय या सिस्टम के चलते समय आपको किसी प्रकार की त्रुटि हो सकती है। यह जांचने के लिए कि क्या आपका SELinux सही तरीके से काम कर रहा है और यदि यह किसी पोर्ट, एप्लिकेशन आदि तक पहुंच को ब्लॉक नहीं करता है, तो आपको लॉग देखने की जरूरत है। SELinux लॉग /var/log/audit/audit.log में स्थित है, लेकिन त्रुटियों को खोजने के लिए आपको इसे संपूर्णता में पढ़ने की आवश्यकता नहीं है। त्रुटियों को खोजने के लिए आप ऑडिट 2why का उपयोग कर सकते हैं। निम्न आदेश चलाएँ:

 $ audit2why < /var/log/audit/audit.log 

नतीजतन, आपको त्रुटियों की एक सूची मिलती है। यदि लॉग में कोई त्रुटि नहीं थी, तो कोई संदेश प्रदर्शित नहीं किया जाएगा।

SELinux नीति को कॉन्फ़िगर करना

एक SELinux नीति नियमों का एक समूह है जो SELinux सुरक्षा का मार्गदर्शन करती है। एक नीति एक विशेष वातावरण के लिए नियमों के एक सेट को परिभाषित करती है। अब हम सीखेंगे कि प्रतिबंधित सेवाओं तक पहुँच की अनुमति देने के लिए नीतियों को कैसे कॉन्फ़िगर किया जाए।

1. तार्किक मूल्य (स्विच)

स्विच (बुलियन) आपको नई नीतियों को बनाने की आवश्यकता के बिना काम करते समय एक नीति के कुछ हिस्सों को बदलने की अनुमति देता है। वे आपको SELinux नीतियों को रीबूट या पुन: स्थापित किए बिना परिवर्तन करने की अनुमति देते हैं।

उदाहरण
मान लीजिए कि हम पढ़ने और लिखने के लिए उपयोगकर्ता की होम डायरेक्टरी को FTP के माध्यम से साझा करना चाहते हैं, और हम पहले ही इसे साझा कर चुके हैं, लेकिन जब हम एक्सेस करने का प्रयास करते हैं, तो हम कुछ भी नहीं देखते हैं। ऐसा इसलिए है क्योंकि SELinux नीति उपयोगकर्ता के होम डायरेक्टरी में FTP सर्वर को पढ़ने और लिखने से रोकती है। हमें नीति को बदलने की आवश्यकता है ताकि एफ़टीपी सर्वर होम निर्देशिकाओं तक पहुंच सके। चलो देखते हैं कि क्या इसके लिए कोई स्विच है

 $ semanage boolean -l 

यह कमांड उनके वर्तमान स्थिति (चालू / बंद या बंद / बंद) और विवरण के साथ उपलब्ध स्विच की एक सूची प्रदर्शित करेगा। केवल ftp संबंधित परिणाम खोजने के लिए आप grep जोड़कर अपनी खोज को परिष्कृत कर सकते हैं:

 $ semanage boolean -l | grep ftp 

और निम्नलिखित खोजें

 ftp_home_dir -> off Allow ftp to read & write file in user home directory 

यह स्विच बंद है, इसलिए हम इसे setsebool $ setsebool ftp_home_dir on सक्षम करेंगे

अब हमारा ftp डेमॉन उपयोगकर्ता के होम डायरेक्टरी तक पहुंचने में सक्षम होगा।
नोट: आप getsebool -a करके विवरण के बिना उपलब्ध स्विच की एक सूची भी प्राप्त कर सकते हैं

2. लेबल और संदर्भ

यह SELinux नीतियों को लागू करने का सबसे आम तरीका है। प्रत्येक फ़ाइल, फ़ोल्डर, प्रक्रिया और पोर्ट एक SELinux संदर्भ के साथ चिह्नित है:

• फ़ाइलों और फ़ोल्डरों के लिए, टैग्स को फ़ाइल सिस्टम में विस्तारित विशेषताओं के रूप में संग्रहीत किया जाता है और इसे निम्न कमांड के साथ देखा जा सकता है:
  

   $ ls -Z /etc/httpd 

• प्रक्रियाओं और बंदरगाहों के लिए, कोर अंकन को नियंत्रित करता है, और आप इन लेबल को निम्नानुसार देख सकते हैं:

प्रक्रिया

 $ ps –auxZ | grep httpd 

बंदरगाह

 $ netstat -anpZ | grep httpd 

उदाहरण
अब लेबल और संदर्भ को बेहतर ढंग से समझने के लिए एक उदाहरण देखते हैं। मान लीजिए हमारे पास एक वेब सर्वर है जो /var/www/html/ /home/dan/html/ बजाय /var/www/html/ /home/dan/html/ निर्देशिका का उपयोग करता है। SELinux इसे एक नीति उल्लंघन मानता है और आप अपने वेब पृष्ठों को ब्राउज़ करने में सक्षम नहीं हो सकते हैं। ऐसा इसलिए है क्योंकि हमने HTML फ़ाइलों से संबंधित सुरक्षा संदर्भ सेट नहीं किया है। डिफ़ॉल्ट सुरक्षा संदर्भ देखने के लिए, निम्नलिखित कमांड का उपयोग करें:

 $ ls –lz /var/www/html -rw-r—r—. root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/ 

यहां हमें HTML फ़ाइलों के संदर्भ के रूप में httpd_sys_content_t मिला है। हमें अपनी वर्तमान निर्देशिका के लिए इस सुरक्षा संदर्भ को सेट करने की आवश्यकता है, जिसमें अब निम्नलिखित संदर्भ हैं:

 -rw-r—r—. dan dan system_u:object_r:user_home_t:s0 /home/dan/html/ 

वैकल्पिक कमांड किसी फ़ाइल या निर्देशिका के सुरक्षा संदर्भ की जाँच करने के लिए:

 $ semanage fcontext -l | grep '/var/www' 

हम सही सुरक्षा संदर्भ खोजने के बाद संदर्भ को बदलने के लिए भी वीर्यपात का उपयोग करेंगे। / Home / dan / html का संदर्भ बदलने के लिए, निम्नलिखित कमांड चलाएँ:

 $ semanage fcontext -a -t httpd_sys_content_t '/home/dan/html(/.*)?' $ semanage fcontext -l | grep '/home/dan/html' /home/dan/html(/.*)? all files system_u:object_r:httpd_sys_content_t:s0 $ restorecon -Rv /home/dan/html 

संदर्भ को वीर्यपात का उपयोग करने के बाद बदल दिया जाता है, रिस्टोरॉन कमांड फाइलों और निर्देशिकाओं के लिए डिफ़ॉल्ट संदर्भ को लोड करेगा। हमारा वेब सर्वर अब फ़ोल्डर /home/dan/html से फाइलों को पढ़ने में सक्षम होगा, क्योंकि इस फ़ोल्डर का सुरक्षा संदर्भ httpd_sys_content_t में बदल दिया गया है।

3. स्थानीय नीतियां बनाना

ऐसी स्थितियां हो सकती हैं, जहां उपरोक्त विधियां आपके लिए बेकार हैं, और आपको ऑडिट में त्रुटि (एवीसी / इनकार) मिलती है। जब ऐसा होता है, तो आपको एक स्थानीय नीति बनाने की आवश्यकता होती है। जैसा कि ऊपर वर्णित है, आप ऑडिट 2why के साथ सभी त्रुटियों को पा सकते हैं।

त्रुटियों को हल करने के लिए, आप एक स्थानीय नीति बना सकते हैं। उदाहरण के लिए, हमें httpd (अपाचे) या smbd (सांबा) से संबंधित त्रुटि मिलती है, हम त्रुटियों को पकड़ते हैं और उनके लिए एक नीति बनाते हैं:

 apache $ grep httpd_t /var/log/audit/audit.log | audit2allow -M http_policy samba $ grep smbd_t /var/log/audit/audit.log | audit2allow -M smb_policy 

यहाँ http_policy और smb_policy उन स्थानीय नीतियों के नाम हैं जिन्हें हमने बनाया था। अब हमें इन बनाई गई स्थानीय नीतियों को वर्तमान SELinux नीति में लोड करने की आवश्यकता है। इसे निम्नानुसार किया जा सकता है:

 $ semodule –I http_policy.pp $ semodule –I smb_policy.pp 

हमारी स्थानीय नीतियां भरी हुई थीं, और हमें अब ऑडिट नहीं करना चाहिए।

यह मेरी कोशिश थी कि आप SELinux को समझने में मदद करें। मुझे उम्मीद है कि इस लेख को पढ़ने के बाद आप SELinux के साथ अधिक सहज महसूस करेंगे।